DMZの作成時の留意点は何ですか?

DMZの作成に当たって以下の詳細を考慮する必要があります:

  • 設計する前に、そのDMZの最大の目的を明確にする
  • 設計する際に、デュアルホームDMZ*か、シングルホームDMZ*かというデサインを選択する
  • DMZの中の各セグメントに関して、外部用セグメントであるか、内部用セグメントであるか、管理用セグメントであるか等を明確にする
  • DMZのインフラストラクチャーコンポーネントとアプリケーションサーバーのシステム管理は専用の管理インタフェースを利用するかどうか等
  • スイッチの数を決定する際、どんなセグメントがスイッチを共有するか等(セキュリティ強化の為に外部と内部のセグメントは共有スイッチを利用しないのが一般的)
  • DMZの中のコンポーネントのどれを仮想化にするのか、物理的にするのかを決定すること
  • DMZ専用ネットワークサービスを作成するか、既存のいずれかのサービスを再利用するか(社内DNSとADをインターネットDMZで再利用するのはリスクを招くことになる等)
  • DMZをどのように利用するのか、運用するのか、オーナーの指定等のポリシーの作成が不可欠です
  • 運用の為のチェンジマネジメントの作成と監査責任の指定を明確にすること等
  • その他

注意点: 上記のリストはあくまでも基本的な提案で、絶対的なリストではありません。
*注意点: デュアルホームDMZが2つのファイアウォールを持ちながら(外部と内部)、2つのネットワークセグメントを持ちます。シングルホームDMZのデサインは一つのファイアウォールだけを持ち、設定を間違えやすいデサインとなりその為リスクが高くなります。

2016/11/07 © ACROSEC Inc.


Category: 「DMZ」 についてよくある質問

← DMZの作成時の留意点は何ですか?